{"id":356,"date":"2026-03-24T18:52:15","date_gmt":"2026-03-24T18:52:15","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-expertos-advierten-sobre-una-ola-de-extorsion-ruidosa-y-agresiva-tras-el-hackeo-de-trivy\/"},"modified":"2026-03-24T18:52:15","modified_gmt":"2026-03-24T18:52:15","slug":"los-expertos-advierten-sobre-una-ola-de-extorsion-ruidosa-y-agresiva-tras-el-hackeo-de-trivy","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/los-expertos-advierten-sobre-una-ola-de-extorsion-ruidosa-y-agresiva-tras-el-hackeo-de-trivy\/","title":{"rendered":"Los expertos advierten sobre una ola de extorsi\u00f3n \u00abruidosa y agresiva\u00bb tras el hackeo de Trivy"},"content":{"rendered":"
\n

SAN FRANCISCO \u2013 Mandiant est\u00e1 respondiendo a un importante ataque en curso a la cadena de suministro que involucra el compromiso de Trivy, una herramienta de c\u00f3digo abierto ampliamente utilizada de Aqua Security que est\u00e1 dise\u00f1ada para encontrar vulnerabilidades y configuraciones err\u00f3neas en repositorios de c\u00f3digo.<\/p>\n

Las consecuencias del ataque, que se detect\u00f3 por primera vez el 19 de marzo, son extensas y plantean un riesgo sustancial de compromisos posteriores e intentos amenazantes de extorsi\u00f3n. <\/p>\n

\u00abConocemos m\u00e1s de 1.000 entornos SaaS afectados en este momento que est\u00e1n lidiando activamente con esta campa\u00f1a de amenazas en particular\u00bb, dijo Charles Carmakal, director de tecnolog\u00eda de Mandiant Consulting, durante una sesi\u00f3n informativa sobre amenazas celebrada junto con la Conferencia RSAC 2026. \u201cEsas m\u00e1s de mil v\u00edctimas probablemente se expandir\u00e1n a otras 500, otras 1.000, tal vez otras 10.000\u201d.<\/p>\n

Los atacantes robaron un token de acceso privilegiado y establecieron un punto de apoyo en el proceso de automatizaci\u00f3n del repositorio de Trivy explotando una mala configuraci\u00f3n en el entorno GitHub Actions de la herramienta a finales de febrero, dijo Aqua Security en un publicaci\u00f3n de blog<\/a>. <\/p>\n

El 1 de marzo, la empresa intent\u00f3 bloquear una infracci\u00f3n en curso cambiando sus credenciales. M\u00e1s tarde se dieron cuenta de que el intento fall\u00f3, lo que permiti\u00f3 al atacante permanecer en el sistema utilizando inicios de sesi\u00f3n v\u00e1lidos. Los atacantes publicaron versiones maliciosas de Trivy el 19 de marzo.<\/p>\n

\u00abSi bien esta actividad inicialmente pareci\u00f3 ser un evento aislado, fue el resultado de un ataque m\u00e1s amplio y de m\u00faltiples etapas a la cadena de suministro que comenz\u00f3 semanas antes\u00bb, dijo Aqua Security en la publicaci\u00f3n del blog.<\/p>\n

Al comprometer la herramienta, los atacantes obtuvieron acceso a secretos de muchas organizaciones, dijo Carmakal. \u00abProbablemente habr\u00e1 muchos otros paquetes de software, ataques a la cadena de suministro y una variedad de otros compromisos como resultado de lo que est\u00e1 sucediendo en este momento\u00bb.<\/p>\n

Mandiant espera que en los pr\u00f3ximos meses se produzcan revelaciones generalizadas de infracciones, ataques posteriores y una variedad de impactos posteriores. <\/p>\n

Los atacantes, que la empresa de respuesta a incidentes a\u00fan no ha identificado, est\u00e1n colaborando con m\u00faltiples grupos de amenazas con sede principalmente en Estados Unidos, Canad\u00e1 y el Reino Unido. Estos ciberdelincuentes \u201cson conocidos por ser excepcionalmente agresivos con su extorsi\u00f3n\u201d, dijo Carmakal. \u00abSon muy ruidosos, muy agresivos\u00bb.<\/p>\n

Mandiant todav\u00eda est\u00e1 trabajando para identificar la ra\u00edz del ataque inicial. \u00abNo podemos decir exactamente c\u00f3mo se robaron esas credenciales, porque creemos que esas credenciales no fueron robadas del entorno de la v\u00edctima\u00bb, dijo Carmakal. <\/p>\n

Las credenciales probablemente fueron robadas de otro entorno de nube, un subcontratista de procesos comerciales, un socio o la computadora personal de un ingeniero, agreg\u00f3. <\/p>\n

Aqua dijo que Sygnia, que est\u00e1 investigando el ataque y ayudando en los esfuerzos de remediaci\u00f3n, identific\u00f3 el domingo actividad sospechosa adicional que involucra cambios no autorizados y cambios en el repositorio, actividad que es consistente con el comportamiento observado previamente del atacante.<\/p>\n

\u00abEste desarrollo sugiere que el incidente es parte de un ataque continuo y en evoluci\u00f3n, en el que el actor de la amenaza restablece el acceso. Nuestra investigaci\u00f3n se centra activamente en validar que todas las rutas de acceso hayan sido identificadas y completamente cerradas\u00bb, dijo la compa\u00f1\u00eda.<\/p>\n

Aqua, en su \u00faltima actualizaci\u00f3n del martes, dijo que contin\u00faa revocando y rotando credenciales en todos los entornos y afirm\u00f3 que todav\u00eda no hay indicios de que sus productos comerciales se vean afectados. <\/p>\n

Actualmente, muchos atacantes est\u00e1n utilizando el acceso como arma y probablemente apuntan a v\u00edctimas adicionales, cediendo a posibles intentos de extorsi\u00f3n y comprometiendo software adicional, dijo Carmakal. <\/p>\n

\u00abVa a ser un resultado diferente para muchas organizaciones diferentes\u00bb, afirm\u00f3. \u00abEste ser\u00e1 un foco muy concentrado de los adversarios y su grupo de expansi\u00f3n de socios con los que est\u00e1n colaborando en este momento\u00bb.<\/p>\n